RODO zdefiniował pojęcie „naruszenia ochrony danych osobowych" jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Postać naruszenia może mieć charakter zewnętrzny i wewnętrzny oraz dotyczyć danych w formie papierowej czy elektronicznej. Brak adekwatnej i niezwłocznej reakcji administratora może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych (kradzież, sfałszowanie tożsamości, strata finansowa, naruszenie poufności, szkody gospodarcze). Administrator powinien upewnić się, czy w związku z przetwarzaniem danych wdrożył techniczne i organizacyjne środki ochrony, a następnie dokonać oceny, czy naruszenie miało miejsce. Pozytywna weryfikacja skutkować powinna niezwłocznym powiadomieniem przez administratora organu nadzorczego. To nowum w stosunku do regulacji obowiązującej. O tym, czy zgłoszenia dokonano bez zbędnej zwłoki podlegać będzie ocenie z uwzględnieniem kryterium charakteru i wagi ochrony danych oraz niekorzystnych skutków dla osoby, której naruszenie dotyczy. Administrator powinien poinformować organ nie później niż w ciagu 72 godzin od stwierdzenia naruszenia chyba, że będzie w stanie wykazać małe prawdopodobieństwo ryzyka naruszenia praw lub wolności osób fizycznych. W przypadku przekroczenia terminu zgłoszenia na administratorze ciążyć będzie obowiązek udzielenia wyjaśnień, co do jego przyczyn. RODO nie pozostawia dowolności, co do formy zgłoszenia naruszenia, określając jego minimalne wymogi. I tak, administrator musi: opisać charakter naruszenia ochrony danych, wskazać kategorie i przybliżoną liczbę osób, których dane dotyczą, kategorie i przybliżoną liczbę wpisów danych, których dotyczy naruszenie; podać dane oraz kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; opisać konsekwencje naruszenia; wskazać zastosowane lub proponowane przez administratora środki w celu zaradzenia naruszeniu ochrony danych. Obowiązek informowania o naruszeniach spoczywa też na podmiocie przetwarzającym, któremu na mocy umowy lub innego aktu powierzono przetwarzanie danych. To administrator ponosi odpowiedzialność za właściwą ochronę danych.
Każde naruszenie powinno zostać udokumentowane. Administratorów zobligowano do prowadzenia dokumentacji okoliczności naruszenia ochrony danych, jego skutków oraz działań zaradczych. Dokumentacja musi pozwolić organowi dokonać weryfikacji przestrzegania obowiązku.
Prawodawca unijny przewidział sankcje za naruszenia. Kary mogą sięgać 10 mln euro, a w przypadku przedsiębiorstwa do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jest obawa, że administratorzy w celu uniknięcia odpowiedzialności, będą dokonywali zgłoszeń wszelkich naruszeń danych, niezależnie od stopnia prawdopodobieństwa spowodowania zagrożenia dla praw i wolności osób fizycznych.
